来源:网络 发布时间:2020-07-10 06:06:56时间:07-10 06:06
IP欺骗是互联网上的用户和设备或客户端的模仿。在网络攻击期间经常使用它来掩饰攻击流量的来源。
最常见的欺骗形式是:
1.DNS服务器欺骗:修改DNS服务器以将域名重定向到不同的IP地址。它通常用于传播病毒。
2.ARP欺骗:通过欺骗性ARP消息将犯罪者的MAC地址链接到合法的IP地址。它通常用于拒绝服务(DoS)和中间人攻击。
3.IP地址欺骗:掩饰攻击者的原始IP。它通常用于DoS攻击。
什么是IP地址欺骗?
计算机网络通过交换网络数据包进行通信,每个网络包含用于路由的多个报头并确保传输连续性。一个这样的头部是源IP地址,它表示数据包发送者的IP地址。IP地址欺骗是伪造源IP头中的内容的行为,通常使用随机数字来掩饰发件人的身份或发起反映的DDoS攻击。IP欺骗是大多数DDoS恶意软件包和攻击脚本的默认功能,使其成为大多数网络层分布式拒绝服务DDoS攻击的一部分。
IP地址在DDOS攻击中欺骗:
在DDoS攻击中使用IP地址欺骗有两个原因:屏蔽僵尸网络设备位置并发起反射攻击。
1.屏蔽僵尸网络设备
僵尸网络是一群受恶意软件感染的设备,由犯罪者远程控制而不需要其所有者的知识。可以指示他们共同访问特定的域或服务器,为犯罪者提供计算和网络资源以产生巨大的流量洪水。这种洪水使僵尸网络运营商(又称牧羊人)能够最大限度地提高目标的资源容量,从而导致服务器停机和网络饱和。僵尸网络通常由随机的地理上分散的设备或属于同一受损网络的计算机组成(例如被黑客攻击的托管平台)。
通过使用欺骗性IP地址来掩饰其僵尸网络设备的真实身份,犯罪人的目标是:
避免执法和网络调查人员发现;防止目标通知设备所有者他们无意中参与的攻击;通过将攻击IP地址列入黑名单绕过试图减轻DDoS攻击的安全脚本设备和服务。
2.反映的DDOS
反映的DDoS攻击使用IP欺骗来生成假请求,表面上代表目标,从受保护的中介服务器引发响应。行为人的目标是通过触发较小请求的大量响应来扩大其流量输出。
常见的反映DDoS攻击方法包括:
DNS放大:源自目标欺骗地址的任何查询都会发送给众多不安全的DNS解析器。每个60字节的请求可以提示4000字节的响应,使攻击者能够将流量输出放大至1:70。
Smurf攻击:ICMP Echo请求从目标的欺骗地址发送到中间广播网络,触发该网络上每个设备的回复。放大程度取决于广播请求的设备数量。例如具有50个连接的主机的网络导致1:50的放大。
NTP放大:包含目标的欺骗性IP地址的获取单元列表请求被发送到不安全的NTP服务器。与DNS放大一样,小的请求会触发更大的响应从而允许最大放大比率为1:200。
应用层攻击中的IP地址欺骗:
为了建立应用层连接,主机和访问者需要参与一个相互验证的过程称为TCP三次握手。
该过程由以下同步交换(SYN)和确认(ACK)分组组成:
①访客向主机发送SYN数据包。
②主机使用SYN-ACK进行回复。
③访问者通过答复ACK数据包来确认收到SYN-ACK。
源IP欺骗使得此过程的第三步不可能,因为它禁止访问者接收到SYN-ACK回复,并将其发送到欺骗性IP地址。由于所有的应用层攻击都依赖于TCP连接并关闭三次握手循环,所以只有网络层DDoS攻击可以使用欺骗地址。
IP地址欺骗在安全研究中的应用:
在安全研究中来自网络层攻击的IP数据通常用于识别攻击者资源的来源国。但是IP地址欺骗会使此数据不可靠,因为恶意流量的IP地址和地理位置都被屏蔽。在仅依靠网络IP数据阅读报告时有必要了解这些限制。例如不能依靠缓解提供商提供的防范应用层攻击的报告来提供僵尸网络设备的准确位置。因此对僵尸网络起源国的任何实质性研究都只能基于应用层攻击数据。
DDOS防护中的反欺骗:
IP地址欺骗通常用于绕过依赖于IP黑名单的基本安全措施。现代的缓解解决方案依赖于深度包检测(DPI),它使用所有包头的粒度分析而不仅仅是源IP地址。借助DPI缓解解决方案能够交叉检查不同数据包标头的内容,以发现其他指标以识别和过滤恶意流量。缓解服务可以使用DPI来观察DDoS流量并识别具有可疑相同的TTL和总长度报头的数据包的流入量,这些数据包与正常模式不匹配。通过跟踪这些小的异常情况该服务可以创建攻击数据包的细粒度配置文件,并在不影响常规访问者流量的情况下使用该配置文件消除恶意流量。
DPI的缺点是这个过程非常耗费资源。当按比例执行时(例如在DDoS攻击期间),DPI可能会导致性能下降,有时甚至使受保护网络几乎完全无响应。为了克服这个问题,CDN互联擦洗是由特制的缓解硬件执行的,该硬件每秒运行DPI约1亿个数据包。每个CDN互联洗刷器都可以提供所有传入数据的粒度可视性,从而确保攻击流量永远不会进入您的网络,同时您的正常访问者流量畅通无阻。
CDN互联专业提供国内外高防cdn加速服务
